تكوين إشارات SIP الآمنة في Contact Center Enterprise

خيارات التنزيل

  • PDF     (1.7 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.6 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (2.5 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٢ نوفمبر ٢٠٢٢
معرّف المستند:218434

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تأمين تدفق المكالمات الشامل لبروتوكول بدء جلسة عمل (SIP) في Contact Center Enterprise (CCE).

    المتطلبات الأساسية

    وخارج نطاق إنشاء الشهادات واستيرادها من هذا المستند، لذلك يجب إنشاء شهادات مدير الاتصالات الموحدة (CUCM) من Cisco وخادم المكالمات الخاص ب Customer Voice Portal (CVP) والمستعرض الصوتي الظاهري (CVB) من Cisco وعنصر الحدود الموحدة (CUBE) من Cisco واستيرادها إلى المكونات المعنية. إذا كنت تستخدم شهادات موقعة ذاتيا، فإن تبادل الشهادات يجب أن يتم بين مكونات مختلفة.

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • CCE
    • CVP
    • مكعب
    • CUCM
    • CVB

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى الإصدار 12.6 من Package Contact Center Enterprise (PCCE) و CVP و CVB و CVB، ولكنها تنطبق أيضا على الإصدارات السابقة.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    يعرض المخطط التالي المكونات المشاركة في إرسال إشارات SIP في تدفق المكالمات الشامل لمركز الاتصال. عندما تصل مكالمة صوتية إلى النظام، تأتي أولا من خلال بوابة الدخول أو المكعب، لذلك قم بتشغيل تكوينات SIP الآمنة على CUBE. بعد ذلك، قم بتكوين CVP و CVB و CUCM.

    Inbound SIP Call Flow

    المهمة 1. التكوين الآمن للمكعب

    في هذه المهمة، قم بتكوين CUBE لتأمين رسائل بروتوكول SIP.

    التكوينات المطلوبة:

    • تكوين TrustPoint افتراضي لوكيل مستخدم SIP (UA)
    • تعديل أقران الطلب لاستخدام أمان طبقة النقل (TLS)

    الخطوات:

    1. فتح جلسة عمل Secure Shell (SSH) إلى المكعب.
    2. قم بتشغيل هذه الأوامر لجعل مكدس SIP يستخدم شهادة المرجع المصدق (CA) الخاصة بالمكعب. ينشئ المكعب اتصال SIP TLS من/إلى CUCM (198.18.133.3) و CVP (198.18.133.13).

    conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. قم بتشغيل هذه الأوامر لتمكين TLS على نظير الطلب الصادر إلى CVP. في هذا المثال، يتم إستخدام علامة نظير الطلب 6000 لتوجيه المكالمات إلى CVP.

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

    CUBE SSH Console

    المهمة 2. التكوين الآمن ل CVP

    في هذه المهمة، قم بتكوين خادم مكالمات CVP لتأمين رسائل بروتوكول SIP (SIP TLS).

    الخطوات:

    1. تسجيل الدخول إلىUCCE Web Administration.
    2. انتقل إلى  Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal


    استنادا إلى التكوينات الخاصة بك، لديك مجموعات خوادم SIP تم تكوينها ل CUCM و CVB و CUBE. أنت تحتاج أن يثبت يأمن SIP ميناء إلى 5061 لكل منهم. في هذا المثال، يتم إستخدام مجموعات خوادم SIP التالية:

    • cucm1.dcloud.cisco.com ل CUCM
    • vvb1.dcloud.cisco.com ل CVB
    • cube1.dcloud.cisco.com  ل CUBE
    1. انقر  cucm1.dcloud.cisco.com  ومن ثم في  Members  علامة التبويب التي تظهر تفاصيل تكوين مجموعة خوادم SIP. مجموعة SecurePort               إلى 5061 وانقر فوق  Save .

    Setting Secure SIP Port for CUCM Server Group

    1. انقر vvb1.dcloud.cisco.com ومن ثم في  Members  علامة تبويب. تعيين SecurePort إلى 5061 وانقر فوق  Save.

    Setting Secure SIP Port for VVB Server Group

    المهمة 3. التكوين الآمن CVB

    في هذه المهمة، قم بتكوين CVB لتأمين رسائل بروتوكول SIP (SIP TLS).

    الخطوات:

    1. تسجيل الدخول إلى  Cisco VVB Administration  صفحة.
    2. انتقل إلى  System > System Parameters.

    VVB System Parameters

    1. في  Security Parameters  مقطع، إختيار  Enable  من أجل TLS(SIP) . نبقي  Supported TLS(SIP) version  ك  TLSv1.2.

    VVB Security Parameters

    1. طقطقة تحديث. انقر Ok عند المطالبة بإعادة تشغيل محرك CVB.

    Update Security Parameters

    1. تتطلب هذه التغييرات إعادة تشغيل محرك Cisco VVB. لإعادة تشغيل محرك VB، انتقل إلى Cisco VVB Serviceability ثم انقر  Go.

    Cisco VVB Serviceability

    1. انتقل إلى  Tools > Control Center – Network Services.

    Control Center - Network Services

    1. نختار Engine وانقر فوق  Restart.

    Control Center - Network Services

    المهمة 4. التكوين الآمن ل CUCM

    لتأمين رسائل SIP على CUCM، قم بإجراء التكوينات التالية:

    • تعيين وضع أمان CUCM على الوضع المختلط
    • تكوين ملفات تعريف أمان خط اتصال SIP ل CUBE و CVP
    • إقران ملفات تعريف أمان خط اتصال SIP بشبكات SIP المقابلة
    • اتصال جهاز "الوكلاء الأمنين" ب CUCM

    تعيين وضع أمان CUCM على الوضع المختلط

    يدعم CUCM وضعي أمان:

    • الوضع غير الآمن (الوضع الافتراضي)
    • الوضع المختلط (الوضع الآمن)

    الخطوات:

    1. لتعيين وضع الأمان على الوضع المختلط، قم بتسجيل الدخول إلى  Cisco Unified CM Administration  الواجهة.

    CUCM Administration Interface

    1. بعد تسجيل الدخول بنجاح إلى CUCM، انتقل إلى  System > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. تحت Security Parameters المقطع، تحقق مما إذا  Cluster Security Mode تم تعيينه على  0.

    CUCM Security Parameters

    1. في حالة تعيين "وضع أمان نظام المجموعة" على أنه 0، فهذا يعني تعيين وضع أمان نظام المجموعة على وضع غير آمن. تحتاج إلى تمكين الوضع المختلط من CLI.
    2. افتح جلسة SSH إلى CUCM.
    3. بعد تسجيل الدخول بنجاح إلى CUCM عبر SSH، قم بتشغيل هذا الأمر: utils ctl set-cluster mixed-mode
    1. النوع y وانقر فوق إدخال عند طلبها. يقوم هذا الأمر بتعيين وضع أمان نظام المجموعة إلى الوضع المختلط.

    CUCM SSH Console

    1. لتفعيل التغييرات، قم بإعادة التشغيل  Cisco CallManager  و  Cisco CTIManager  الخدمات.
    2. لإعادة تشغيل الخدمات، قم بالتنقل وتسجيل الدخول إلى Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. بعد تسجيل الدخول بنجاح، انتقل إلى  Tools > Control Center – Feature Services.

    Control Center - Feature Services

    1. أختر الخادم ثم انقر فوق  Go.

    Select Server

    1. تحت خدمات CM، أختر Cisco CallManager  ثم انقر  Restart  زر أعلى الصفحة.

    Restarting Cisco Call Manager Services

    1. تأكيد الرسالة المنبثقة والنقر  OK. انتظر حتى يتم إعادة تشغيل الخدمة بنجاح.

    Info Message

    1. بعد إعادة التشغيل الناجحة ل  Cisco CallManager، أختر Cisco  CTIManager  ثم انقر Restart زر إعادة التشغيل  Cisco CTIManager  الخدمه.

    Restarting Cisco CTI Manager Service

    1. تأكيد الرسالة المنبثقة والنقر  OK. انتظر حتى يتم إعادة تشغيل الخدمة بنجاح.

    Info Message

    1. بعد إعادة تشغيل الخدمات بنجاح، تحقق من تعيين وضع أمان نظام المجموعة على الوضع المختلط، انتقل إلى إدارة CUCM كما هو موضح في الخطوة 5. ثم تحقق من  Cluster Security Mode. والآن يجب تعيينها على  1.

    Cluster Security Mode is to the Value of '1'

    تكوين ملفات تعريف أمان خط اتصال SIP ل CUBE و CVP

    الخطوات:

    1. تسجيل الدخول إلى  CUCM administration  الواجهة.
    2. بعد تسجيل الدخول الناجح إلى CUCM، انتقل إلى System > Security > SIP Trunk Security Profile  لإنشاء ملف تعريف أمان للجهاز ل CUBE.

    CUCM SIP Trunk Security Profile

    1. في أعلى اليسار، انقر  Add New  لإضافة ملف تعريف جديد.

    Add New CUCM SIP Trunk Security Profile

    1. التكوين SIP Trunk Security Profile كما هو موضح في هذه الصورة، ثم انقر  Save  في أسفل يسار الصفحة إلى  Save  هو.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. تأكد من تعيين  Secure Certificate Subject or Subject Alternate Name  إلى الاسم الشائع (CN) لشهادة CUBE كما يجب أن تتطابق.

    6. انقر فوق  Copy  زر وتغيير Name               إلى  SecureSipTLSforCVP و Secure Certificate Subject إلى CN الخاص بشهادة خادم الاتصال ب CVP كما يجب أن تطابق. انقر Save زر.

    Add CUCM SIP Trunk Security Profile for CVP

    إقران ملفات تعريف أمان خط اتصال SIP بشبكات SIP المقابلة

    الخطوات:

    1. في صفحة إدارة CUCM، انتقل إلى  Device > Trunk.

    CUCM Trunk Configuration for CUBE

    1. البحث عن خط اتصال المكعب. في هذا المثال، اسم خط اتصال المكعب هو  vCube . انقر  Find.

    Find SIP Trunks on CUCM for CUBE

    1. انقر فوق vCUBE لفتح صفحة تكوين خط اتصال vCUBE.
    2. تمرير لأسفل إلى SIP Information قسم، وتغيير  Destination Port                إلى  5061.
    3. تغيير SIP Trunk Security Profile               إلى  SecureSIPTLSForCube.

    SIP Trunk Configuration for CUBE

    1. انقر Save ثم Rest من أجل  Save وتطبيق التغييرات.

    Save Configuration


    Info Message

    1. انتقل إلى  Device > Trunk، والبحث عن خط اتصال CVP. في هذا المثال، اسم خط اتصال CVP هو  cvp-SIP-Trunk . انقر  Find.

    CUCM Trunk Configuration for CVP

    1. انقر CVP-SIP-Trunk لفتح صفحة تكوين خط اتصال CVP.
    2. تمرير لأسفل إلى SIP Information مقطع، وتغيير  Destination Port                إلى  5061 .
    3. تغيير  SIP Trunk Security Profile                إلى  SecureSIPTLSForCvp.

    Find SIP Trunks on CUCM for CVP

    1. انقر  Save ثم Rest من أجل save وتطبيق التغييرات.

    SIP Trunk Configuration for CVP

    Save Configuration

    اتصال جهاز "الوكلاء الأمنين" ب CUCM

    لتمكين ميزات الأمان للجهاز، يجب تثبيت شهادة ذات أهمية محلية (LSC) وتعيين ملف تعريف أمان لذلك الجهاز. يحتوي LSC على المفتاح العام لنقطة النهاية، والذي تم توقيعه من قبل المفتاح الخاص لوظيفة وكيل المرجع المصدق (CAPF). وهو غير مثبت على الهواتف بشكل افتراضي.

    الخطوات:

    1. تسجيل الدخول إلى Cisco Unified Serviceability Interface.
    2. انتقل إلى  Tools > Service Activation.

    Info Message

    1. أختر خادم CUCM وانقر  Go .

    CUCM Service Activation

    1. فحص Cisco Certificate Authority Proxy Function وانقر فوق  Save لتنشيط الخدمة. انقر Ok للتأكيد.

    Select Server

    1. تأكد من تنشيط الخدمة ثم انتقل إلى  Cisco Unified CM Administration.

    Activate Cisco Certificate Authority Proxy Function Service

    1. بعد تسجيل الدخول بنجاح إلى إدارة CUCM، انتقل إلى  System > Security > Phone Security Profile  لإنشاء ملف تعريف أمان للجهاز الوكيل.

    CUCM Administration

    1. اعثر على توصيفات التأمين المتعلقة بنوع جهاز الوكيل. في هذا المثال، يتم إستخدام هاتف ناعم، لذا أختر  Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile . انقر CopyPhone Security Profile لنسخ ملف التعريف هذا.

    Copy Existing Phone Security Profile

    1. إعادة تسمية ملف التعريف إلى  Cisco Unified Client Services Framework - Secure Profile، قم بتغيير المعاملات كما هو موضح في هذه الصورة، ثم انقر فوق  Save في أعلى يسار الصفحة.

    Add New Phone Security Profile

    1. بعد الإنشاء الناجح لملف تعريف جهاز الهاتف، انتقل إلى  Device > Phone.

    Phone Configuration

    1. انقر Find لسرد جميع الهواتف المتوفرة، انقر فوق هاتف الوكيل.
    2. يتم فتح صفحة تكوين هاتف الوكيل. بحث Certification Authority Proxy Function (CAPF) Information قسم. لتثبيت LSC، قم بتعيين Certificate Operation               إلى Install/Upgrade و Operation Completes by إلى أي تاريخ في المستقبل.

    Setting CAPF Parameters

    1. بحث Protocol Specific Information قسم. تغيير Device Security Profile               إلى  Cisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. انقر  Save في أعلى يسار الصفحة. تأكد من حفظ التغييرات بنجاح وانقر فوق  Reset.

    Save Configuration

    1. تفتح نافذة منبثقة، انقر  Reset  لتأكيد الإجراء.

    Phone Reset

    1. بعد تسجيل جهاز الوكيل مرة أخرى باستخدام CUCM، قم بتحديث الصفحة الحالية وتحقق من تثبيت LSC بنجاح. فحص Certification Authority Proxy Function (CAPF) Information قسم، Certificate Operation يجب تعيينها إلى  No Pending Operation,و Certificate Operation Status تم تعيينه على  Upgrade Success .

    CAPF Information is Updated

    1. أحلت steps. 7-13 لتأمين أجهزة العملاء الأخرى التي تريد إستخدامها لتأمين SIP باستخدام CUCM.

    التحقق من الصحة

    للتحقق من صحة إرسال إشارات SIP مؤمن بشكل صحيح، قم بتنفيذ الخطوات التالية:

    1. فتح جلسة SSH إلى vCUBE، قم بتشغيل الأمر show sip-ua connections tcp tls detail ، وتأكيد عدم وجود اتصال TLS مثبت حاليا مع CVP (198.18.133.13).

    show sip-ua connections tcp tls detail Output on CUBE SSH Console

    ملاحظة: في هذه اللحظة، يتم تمكين جلسة TLS نشطة واحدة فقط مع CUCM، لخيارات SIP على CUCM (198.18.133.3). في حالة عدم تمكين خيارات SIP، لا يوجد اتصال SIP TLS.

    1. سجل الدخول إلى CVP وابدأ Wireshark.
    2. إجراء مكالمة إختبار لرقم مركز الاتصال.
    3. انتقل إلى جلسة CVP؛ على Wireshark، قم بتشغيل عامل التصفية هذا للتحقق من إرسال إشارات SIP باستخدام CUBE:
      ip.addr == 198.18.133.226 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and CUBE

    التحقق: هل تم إنشاء اتصال SIP عبر TLS؟ إذا كانت الإجابة بنعم، فإن الإخراج يؤكد تأمين إشارات SIP بين CVP و CUBE.

    5. تحقق من اتصال SIP TLS بين CVP و CVB. في نفس جلسة Wireshark، قم بتشغيل عامل التصفية هذا:

    ip.addr == 198.18.133.143 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and VVB

    التحقق: هل تم إنشاء اتصال SIP عبر TLS؟ إذا كانت الإجابة بنعم، فإن الإخراج يؤكد تأمين إشارات SIP بين CVP و CVB.

    6. يمكنك أيضا التحقق من اتصال SIP TLS ب CVP من CUBE. انتقل إلى جلسة SSH الخاصة ب vCUBE، وشغل هذا الأمر للتحقق من إشارات SIP الآمنة:
    show sip-ua connections tcp tls detail


    SIP TLS Connection Between CVP and CUBE from CUBE SSH Console

    التحقق: هل تم إنشاء اتصال SIP عبر TLS مع CVP؟ إذا كانت الإجابة بنعم، فإن الإخراج يؤكد تأمين إشارات SIP بين CVP و CUBE.

    7. في هذه اللحظة، يتم الاتصال بشكل نشط وتسمع الموسيقى قيد الانتظار (MoH) نظرا لعدم توفر وكيل للرد على المكالمة.

    8. أجعل الوكيل متوفرا للرد على المكالمة.

    .Make Agent Ready on Finesse Agent Desktop

    9. يتم حجز العميل ويتم توجيه المكالمة إليه. انقر Answer رد على المكالمة.

    Answer Incoming Call on Finesse Desktop


    10. يتصل الاتصال بالوكيل.

    11. للتحقق من إشارات SIP بين CVP و CUCM، انتقل إلى جلسة CVP، وشغل هذا المرشح في Wireshark:
    ip.addr == 198.18.133.3 && tls && tcp.port==5061

    Packet Capture Filtering Secure SIP Signals between CVP and CUCM

    تحقق: هل جميع إتصالات SIP مع CUCM (198.18.133.3) عبر TLS؟ إذا كانت الإجابة بنعم، فإن المخرجات تؤكد أن إشارات SIP بين CVP و CUCM مؤمنة.

    استكشاف الأخطاء وإصلاحها

    إذا لم يتم إنشاء TLS، فقم بتشغيل هذه الأوامر على CUBE لتمكين تصحيح أخطاء TLS لاستكشاف الأخطاء وإصلاحها:

    • Debug ssl openssl errors
    • Debug ssl openssl msg
    • Debug ssl openssl states

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    23-Nov-2022
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Mohamed Mohasseb
      مهندس إستشاري تقني

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات